利用命令注入getshell
靶机ip:192.168.41.129
kali:192.168.41.128
任务:靶机存在命令注入漏洞,获取靶机权限。
漏洞原理
命令执行直接调用操作系统命令。其原理是,在操作系统中,“&、|、I都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,将用户的输入作为系统命令的参数拼接到命令行中,在没有过滤用户输入的情况下,造成命令执行漏洞。
规则
command1&command2 两个命令同时执行
command1&&command2 只有前面命令执行成功,后面命令才继续执行
command1;command2 不管前面命令执行成功没有,后面的命令继续执行
command1||command2 顺序执行多条命令,当碰到执行正确的命令后将不执行后面的命令
更多漏洞原理请点击–>传送门
过程
信息收集总在前。
可以看出是开放80端口的,查看漏洞场景如下: